一、流程设计
  需求阶段:
  威胁建模:在需求分析阶段,从安全的角度,对威胁建模并加以描述。
  开发测试阶段:
  安全编码培训==>白盒扫描==>黑盒扫描==>产品发布
  开发过程:概设&详设阶段需要考虑Environmental Safety(环境安全)
  编码阶段需要按照安全编码规范
  产品运营阶段:
  安全响应:
  被动:安全事件响应
  主动:不影响业务的前提下的渗透测试、测试环境下的fuzzing
  二、策略及适用工具
  自动化:
  白盒:
  静态扫描为主;
  黑盒:
  url镜像+漏洞扫描
  例子:用工具(比如wapiti等)扫描,分析并利用(贴出来的url都是以前的,现在已经修复了。这里作为学习的例子,没有不良意图)。

  HTTP会话录制回放(基于业务的)
  在乌云上可以找到大量的通过业务录制回放方法找到的缺陷
  例子:http://www.wooyun.org/bugs/wooyun-2015-0106600
  手工:
  日常渗透
  三、总结
  可借鉴微软SDL